Compartilhar via

Configurar alertas de HSM Gerenciado

  • Artigo

Depois de começar a usar o HSM Gerenciado do Azure para armazenar suas chaves de produção, é importante monitorar a integridade do seu HSM para garantir que seu serviço funcione conforme o planejado.

À medida que você começa a escalar seu serviço, o número de solicitações enviadas para o seu HSM aumentará. Esse aumento tem potencial para aumentar a latência de suas solicitações. Em casos extremos, isso pode fazer com que suas solicitações sejam limitadas e afetem o desempenho do seu serviço. Você também precisa saber se o seu HSM está enviando um número incomum de códigos de erro, para que possa lidar rapidamente com qualquer problema com uma política de acesso ou configuração de firewall.

Este artigo mostrará como configurar alertas em limites especificados para que você possa alertar sua equipe para agir imediatamente se o seu HSM estiver em um estado não íntegro. Você pode configurar alertas que enviam um email (de preferência para uma lista de distribuição de equipe), disparam uma notificação da Grade de Eventos do Azure ou ligam ou enviam uma mensagem de texto para um número de telefone.

Tipos de alerta

Você pode escolher entre estes tipos de alertas:

  • Alerta estático com base em um valor fixo
  • Alerta dinâmico que avisará se uma métrica monitorada exceder o limite médio do seu HSM de um determinado número de vezes dentro de um intervalo de tempo definido

Importante

Pode levar até 10 minutos para que os alertas recentemente configurados comecem a enviar notificações.

Este artigo se concentra em alertas para o HSM gerenciado.

Configurar um grupo de ações

Um grupo de ações é uma lista configurável de notificações e de propriedades. A primeira etapa na configuração de alertas é criar um grupo de ação e escolher um tipo de alerta:

  1. Escolha seu recurso do HSM no portal do Microsoft Azure e escolha Alertas em Monitoramento.

    Uma captura de tela da seleção de Alertas em Monitoramento no portal do Azure.

  2. Selecione Criar.

    Uma captura de tela mostrando a criação de um novo alerta.

  3. Selecione Grupo de ações.

    Uma captura de tela mostrando a seleção de Grupo de ações.

  4. Insira os detalhes do Projeto e da Instância e selecione Avançar.

    Uma captura de tela mostrando a entrada dos detalhes do projeto e da instância.

  5. Escolha o Tipo de Notificação para o grupo de ações. Neste exemplo, criaremos um alerta de email e SMS. Selecione Email/Mensagem SMS/Push/Voz.

    Uma captura de tela mostrando a seleção de Email/Mensagem SMS/Push/Voz como o Tipo de Notificação.

  6. Na caixa de diálogo, insira os detalhes de email e SMS e, em seguida, escolha OK.

    Uma captura de tela mostrando a entrada de detalhes de email e de SMS.

  7. Insira um nome para a hora da notificação e selecione Avançar.

    Uma captura de tela mostrando a entrada de um nome para a notificação.

  8. Selecione um Tipo de ação para o grupo de ações. Neste exemplo, criamos uma ação dos Hubs de Eventos. Selecione Hub de Eventos.

    Uma captura de tela mostrando a seleção do Hub de Eventos como o tipo de ação.

  9. Insira o namespace e o nome do Hub de Eventos e selecione OK.

    Uma captura de tela mostrando a entrada do namespace e do nome do hub de eventos.

  10. Insira um Nome para a ação.

    Uma captura de tela mostrando a entrada de um nome para a ação.

  11. Selecione Revisar + criar e, então, selecione Criar.

Configurar os limites de alerta

Em seguida, crie uma regra e configure os limites que dispararão um alerta:

  1. Escolha seu recurso do HSM no portal do Microsoft Azure e escolha Alertas em Monitoramento.

    Uma captura de tela mostrando a seleção de Alertas em Monitoramento no portal do Azure.

  2. Selecione Regra de alerta em Criar.

    Uma captura de tela mostrando a criação de uma nova regra de alerta.

  3. Escolha o escopo da sua regra de alerta. Você pode selecionar um único HSM ou vários HSMs.

    Importante

    Quando você estiver selecionando vários HSMs para o escopo de seus alertas, todos os HSMs selecionados deverão estar na mesma região. Você terá de configurar as regras de alerta separadas para HSMs em regiões diferentes.

    Uma captura de tela mostrando a seleção do escopo da regra de alerta.

  4. Selecione os limites que definem a lógica para seus alertas. Você pode exibir todos os sinais disponíveis selecionando Ver todos os sinais. A equipe do HSM gerenciado recomenda configurar os seguintes limites para a maioria dos aplicativos, mas você pode ajustá-los com base nas necessidades do aplicativo:

    • Disponibilidade do Key Vault cai abaixo de 100% (limite estático)
    • Latência do Key Vault é maior que 1000 ms (limite estático)

    Observação

    A intenção do limite de 1.000 ms é notificar que o serviço Key Vault nessa região tem uma carga de trabalho maior que a média. Nosso SLA para operações do Key Vault é várias vezes maior. Consulte o Contrato de Nível de Serviço para Serviços Online do SLA atual. Para alertar quando as operações do Key Vault estiverem fora do SLA, use os limites dos documentos SLA.

    • Total dos códigos de erro é maior que a média (limite dinâmico).

    Uma captura de tela mostrando a configuração dos limites de alerta.

  5. Selecione uma ação a ser aplicada à regra de alerta. Neste exemplo, adicionamos um grupo de ações existente. Selecione o grupo de ações e selecione Selecionar.

    Uma captura de tela mostrando a seleção de um grupo de ações para a regra de alerta.

  6. Insira os detalhes do Projeto e da Regra de alerta e selecione Avançar.

  7. Selecione Criar.

Exemplo: configurar um limite de alerta estático para a latência

  1. Escolha Latência Geral da API de Serviço como o nome do sinal e selecione Aplicar.

    Uma captura de tela mostrando a seleção da Latência Geral da API de Serviço como o nome do sinal.

    1. Use os seguintes parâmetros de configuração:

      • Defina o Limite para Estático.
      • Defina o Tipo de agregação para Média.
      • Defina o Operador como Maior que.
      • Defina o Valor de limite para 1.000.
      • Defina Check a cada para 1 minuto.
      • Defina Período de retrospectiva como 5 Minutos.

      Uma captura de tela mostrando a configuração de parâmetros para o limite de alerta estático.

    2. Selecione Concluído.

    Exemplo: configurar um alerta do Assistente do Azure

    Para ser alertado se um backup não tiver sido feito nos últimos 30 dias, o alerta deverá ser configurado no Assistente.

    1. Pesquise "Assistente" no portal do Azure e selecione o serviço "Assistente".

      Uma captura de tela mostrando a pesquisa do Assistente no portal do Azure.

    2. SelecioneAlertas em Monitoramento.

      Uma captura de tela mostrando a seleção de Alertas em Monitoramento no Assistente.

    3. Selecione Novo alerta do Assistente.

      Uma captura de tela mostrando a criação de um novo alerta do Assistente.

    4. Escolha o escopo da sua regra de alerta.

    5. Selecione Tipo de Recomendação como a condição de configuração.

    6. Pesquise "Criar um backup do HSM" como o tipo de recomendação e selecione-o.

    7. Selecione um Grupo de Ações. Neste exemplo, selecionaremos um grupo de ações existente. Você pode selecionar até cinco grupos de ações para anexar a uma regra de alerta. Escolha Selecionar existente e um painel lateral será exibido. Selecione o grupo de ações existente.

      Uma captura de tela mostrando a seleção de um grupo de ações existente.

      Uma captura de tela mostrando a seleção do grupo de ações existente do painel lateral.

    8. Dê um nome à regra de alerta e selecione o grupo de recursos ao qual ela se aplica. Em seguida, selecione Criar Alerta.

      Uma captura de tela mostrando a entrada de um nome para a regra de alerta e a seleção do grupo de recursos.

    Próximas etapas

Use as ferramentas configuradas por você neste artigo para monitorar ativamente a integridade do cofre de chaves: